Notes des comités parlementaires : Note Technique

Sécuriser les infrastructures critiques du Canada contre les cybermenaces croissantes

• Les infrastructures critiques (IC) du Canada jouent un rôle essentiel dans la fourniture des services essentiels et des nécessités de la vie quotidienne, tels que l'électricité, le transport, les services bancaires et l'internet
• L'IC du Canada est de plus en plus menacée par les cybermenaces et constitue une cible privilégiée pour les cybercriminels et les acteurs parrainés par l'État
• Les perturbations de l'infrastructure de communication pourraient entraîner la perte de services vitaux, des répercussions économiques pour les petites et moyennes entreprises, des préjudices pour le public, voire des pertes de vies humaines
• Comme nos alliés, nous devons agir maintenant pour protéger nos infrastructures essentielles, qui sont à la base de la sécurité économique du Canada.

Opportunités pour l'avancement de la cybersécurité au Canada

• Les ministres responsables de certains secteurs d'infrastructures essentielles, comme l'énergie, la finance, et les transports, ont déjà un mandat relatif à la sécurité. Le secteur des télécommunications bénéficierait aussi d'un mandat clair à cet égard
• Lors des consultations publiques de 2016, qui ont alimenté la Stratégie nationale de cybersécurité, l'industrie a souligné le besoin de réglementation en matière de cybersécurité
• Le gouvernement du Canada n'a pas de mécanisme juridique clair et explicite qui permet d'imposer que des mesures soient prises pour adresser des menaces ou vulnérabilités cybernétiques
• La déclaration obligatoire est l'occasion d'améliorer l'échange d'informations sur les cybermenaces entre le secteur privé et le gouvernement du Canada, dans l'intérêt de l'industrie et du gouvernement.

Contexte – ce que nous avons fait

• 2013 : Création du programme d'examen de la sécurité, par le Centre canadien pour la cybersécurité (CST)
• 2016 : Consultations relatives à la cybersécurité menées auprès du publique
• 2018 : Publication de la Stratégie nationale de cybersécurité. Le Centre canadien de cybersécurité du CST a été créé dans le cadre d'une initiative clé du NCSS.
• 2019 : Allocation de 144,9M de dollars dans le Budget 2019 pour l'élaboration d'un cadre visant les cybersystèmes essentiels
• 2021 : Achèvement de l'examen interministériel de la sécurité des systèmes de télécommunication 5G, lequel a recommandé un nouveau cadre pour sécuriser le système canadien de télécommunications
  • Un des piliers du nouveau cadre est l'évolution du programme d'examen de la sécurité avec engagement continu auprès des fournisseurs de services téléphoniques canadiens ainsi que des fournisseurs d'équipement pour aider à assurer la sécurité des réseaux de télécommunications canadiens, y compris la 5G.

Projet de loi C-26: Loi concernant la cybersécurité, 2022

• À la suite de ce travail, pour adresser les préoccupations identifiées et pour améliorer l'approche du Canada en matière de cybersécurité, nous introduisons la Loi concernant la cybersécurité afin de promouvoir la cybersécurité dans quatre secteurs d'infrastructures critiques réglementés par le gouvernement fédéral
• Le projet de loi comprend deux parties distinctes :
  • La Partie 1 introduit des modifications à la Loi sur les télécommunications pour y ajouter la sécurité comme objectif de politique, et donner au gouvernement la capacité de prendre des mesures, au besoin, pour sécuriser le système de télécommunications;
  • La Partie 2 introduit la Loi sur la protection des cybersystèmes essentiels, qui créerait un nouveau régime réglementaire exigeant que les exploitants désignés dans les secteurs de la finance, des télécommunications, de l'énergie et des transports protègent leurs cybersystèmes essentiels.

Partie 1: Loi sur les télécommunications

• Après l'examen en matière de sécurité des systèmes de télécommunication 5G, le gouvernement a proposé le renforcement de notre cadre législatif actuel pour promouvoir la sécurité du système de télécommunications du Canada, et ce, par le biais de modifications législatives apportées à la Loi sur les télécommunications:

Objectif de la politique

• La Loi sur les télécommunications serait modifié afin d'ajouter « promouvoir la sécurité du système canadien de télécommunication » comme objectif.

Outils législatifs

• Le gouverneur en conseil et le ministre de l'industrie seraient habilité à prendre des décret et arrêtés, respectivement, à cet objectif; ce pouvoir pourrait être utilisé pour obliger les fournisseurs de services de télécommunications à prendre des mesures si elles sont jugées nécessaires.
  • Ces pouvoirs permettraient au gouvernement de prendre des mesures relatives à la sécurité, pour améliorer la protection contre une série de menaces (cybernétique, catastrophes naturelles, etc.).

Contrôles et pouvoirs d'application

• Les autorités chargées de la collecte, de la confidentialité et du partage des informations, ainsi qu'un système de sanctions administratives pécuniaires visant à promouvoir le respect de la législation.

Partie 2 : Loi sur la protection des cybersystèmes essentiels

• La Loi sur la protection des cybersystèmes essentiels établirait par le biais d'un régime réglementaire intersectoriel un niveau de sécurité de base pour les exploitants désignés.

Nouveaux outils législatifs

• La loi permettrait d'améliorer le partage d'information relative aux cybermenaces et conférerait au gouverneur en conseil le pouvoir d'émettre des directives de cybersécurité aux exploitants désignés.

Obligations

Les exploitants désignés serait seraient tenus :

• De mettre en œuvre un programme de cybersécurité
• Prendre des mesures raisonnables pour atténuer les risques liés à la chaîne d'approvisionnement et aux services ou produits de tiers
• De signaler des incidents de cybersécurité au CST
• De mettre en œuvre des directives de cybersécurité

Contrôles et pouvoirs d'application

• La Loi conférerait aux organismes réglementaires les pouvoirs d'application nécessaires (comme les vérifications, le Régime de sanctions administratives pécuniaires (RSAP)) et établirait des conséquences en cas de non-conformité (p. ex. infraction punissable par procédure sommaire et par mise en accusation).

Principaux amendements adoptés par le Comité permanent de la sécurité publique et nationale

• Le vaste soutien sur l'importance du projet de loi ; des amendements ciblés ont renforcé ou clarifié certaines dispositions
• Amendements apportés à l'ensemble du projet de loi
  • Ajout d'un critère de vraisemblance pour les ordonnances et les directives
  • Exigences précises en matière de rapports
  • Exigences de notification pour les ordonnances et les directives confidentielles
  • Dispositions plus explicites sur la vie privée et les informations confidentielles
• Amendements qui s'appliquent plus précisément à la partie 1
  • Obligation explicite de consultation
  • Ajout d'une défense explicite de diligence raisonnable
• Amendements qui s'appliquent plus précisément à la partie 2
  • Éclaircissements sur la conception de programme (calendrier de production des rapports, chaîne d'approvisionnement, etc.)
  • Considérations fédérales-provinciales relatives à l'échange de renseignements

Comparaison : Partie 1 et Partie 2

Conclusion

• Si adoptée, cette loi permettrait de mieux promouvoir la cybersécurité au Canada par les nouvelles mesures suivantes :
  • Pouvoirs en matière de sécurité pour le gouverneur en conseil et le ministre de l'Industrie en vertu de la Loi sur les télécommunications ;
  • Création de règlements intersectoriels relatifs à la cybersécurité ;
  • Capacité d'imposer que des mesures soient prises en réponse aux cybermenaces ;
  • Amélioration de l'échange d'information sur les cybermenaces.
• De façon générale, la Loi concernant la cybersécurité souligne l'engagement du gouvernement à accroître le niveau de cybersécurité de base au pays, et à veiller à la sécurité nationale et la sécurité publique.

Date de modification :

2025-03-03